L’accesso a quasi 35 mila account PayPal è stato ottenuto attraverso il credential stuffing. Lo ha reso noto l’azienda.
Anche noto come password reuse, è un attacco dove i cyber criminali provano ad accedere a un account, testando l’abbinamento di nome utente e password, frutto di precedenti data breach, finiti nell’underground.
Infatti “è importante sottolineare”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “che gli account, secondo quanto dichiarato da PayPal, sono stati violati grazie ad un attacco di credential stuffing e non a causa della compromissione dei sistemi aziendali”. Ecco come proteggersi, anche perché il fenomeno potrebbe essere ben più esteso.
Indice degli argomenti
Account PayPal nel mirino del credential stuffing
L’attacco di credential stuffing ai danni degli account PayPal si sarebbe verificato a cavallo fra il 6 e l’8 dicembre scorso.
PayPal spiega che non c’è stata alcuna violazione dei suoi sistemi, ma le credenziali di login sono state ottenute tramite il credential stuffing. I cyber criminali hanno avuto accesso a nome e cognome, data di nascita, indirizzo postale, numero di previdenza sociale e codice fiscale di quasi 35 mila utenti.
Nel dettaglio, i cyber criminali avrebbero infatti riciclato vecchie password, frutto di precedenti data breach, per accedere a 34.942 conti PayPal.
Il credential stuffing è un attacco che si basa su un approccio automatizzato che sfrutta bot che girano con liste di credenziali per riempire di login i portali per vari servizi. Infatti, gli utenti hanno riutilizzato le password, associate al loro nome in altri servizi.
“Negli attacchi di credential stuffing”, spiega Paganini, “gli attori malevoli provano ad accedere agli account dell’azienda presa di mira utilizzando credenziali ottenute da violazioni di dati di terze parti. Cattive abitudini come il riutilizzo delle password su più siti espone gli utenti a questa tipologia di attacco”.
L’attacco sembra limitato agli Stati Uniti, dal momento che i dati espongono i numeri di previdenza sociale. Tuttavia non è ancora noto se ci sono altri Paesi coinvolti. Ma, secondo gli “esperti”, afferma Paganini, “il numero di account compromessi potrebbe essere superiore”.
Fenomeno più esteso
Tuttavia, “vorrei porre l’attenzione su alcuni rumors che circolano in rete in relazione all’entità dell’attacco”, mette in guardia Paganini: “Secondo l’azienda Hudson Rock, ben oltre 1.350.000 credenziali di utenti PayPal sono in disponibilità di gruppi criminali, alle quali se ne aggiungono di nuove quotidianamente”.
Come proteggersi dal credential stuffing
Le buone pratiche di cyber igiene prevedono che non riutilizzino mai password impiegate su altri servizi. Le credenziali devono essere uniche per ogni servizio, in modo tale che, in caso di data breach, l’abbinamento di login e password non porti a violazioni su ulteriori servizi. Ma non solo. Si dovrebbe “utilizzare una password complessa per i vostri account PayPal, non condivisa con altri servizi online, e di attivare il doppio fattore di autenticazione in modo da essere al riparo da questi attacchi”, suggerisce Paganini. Una password alfanumerica, contenente caratteri speciali e lunga almeno 12 caratteri.
Inoltre “sorprende che un servizio come PayPal non utilizzi di default l’autenticazione MFA”, sottolinea , “un enforcement necessario per servizi con dati sensibili. Inoltre un servizio dovrebbe riportare tempestivamente agli utenti attività insolite, come login da localizzazioni sconosciute o da nuovi dispositivi, sospendendo un account temporaneamente finché l’utente non prende provvedimenti”.
